科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全安全与便利专题之用户会选择拥抱谁篇?

安全与便利专题之用户会选择拥抱谁篇?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

就在最近,火狐浏览器作出了将Flash以及其它插件调整为可选而不是默认选项的决定。在本文中,帕特里克瀠伯特将涉及的具体情况进行深入分析。希望最终可以达到确认它会给用户带来更高安全保障还是导致更多问题出现的目标。

来源:ZDNet安全频道 2012年8月29日

关键字: 浏览器安全 FLASH 火狐

  • 评论
  • 分享微博
  • 分享邮件

  对于安全新闻网站来说,最新的一条重磅消息就是火狐决定将奥多比Flash插件从原先的默认项目调整到“可选”类别上。当前的情况下,由于不管用户安装的是哪种浏览器,Flash支持都属于默认的内置项目;因此,当访问需要Flash支持的网站时,插件就可以将相应的内容自动载入。但根据火狐刚发布的更新计划,在今年之内发布的新版本里这项功能将会被调整为“可选”项目。这就意味着,如果再出现用户访问一家需要Flash支持网站的情况时,插件将不会被直接自动加载进去,而是需要用户选择确认是否加载该插件以便将相应的图片或者文字信息显示出来。由于Flash属于非常受欢迎的流行插件之一,这导致它经常遭遇各种类型的攻击;因此,新调整可以防止恶意网站利用加载隐藏SWF文件的方式感染未能及时更新安全补丁的浏览器。作为第一家选择远离Flash的浏览器开发商,这么做是否是值得的呢?用户是会发现该功能非常有效,还是仅仅只能感觉到麻烦不断?更重要的是,这是否属于一种切实有效的安全措施——来自其它领域的开发人员会怎么看待该做法呢?

  当然,很多种做法都可以用来实现这项功能。以此同时,从表面上来看,它貌似属于一个不错的主意。这样做不仅可以保障安全,而且还能够提升速度。毕竟,在用户访问一家内容需要一个或者多个插件支持的网站时,仅加载处理过程就需要耗费大量时间。用户现在就可以利用询问是否同意播放该内容的设置来让页面加载速度变得更快;此外,用户还可以决定是否要等待额外的第二个或两个插件加载进来。不过,这种做法也存在不利的一面,那就是会让很多用户对于频频出现的询问选择感到厌烦。并且,只有进行更多次点击才能获得相关内容也会让操作过程变得非常麻烦。使用过NoScript与Adblock等插件的用户应该深知这种情况的麻烦所在。多年之前,他们就利用非常类似的方法禁用了Flash。但由于使用此类插件的用户往往具有较高的专业水准,所以应该不会属于这次调整所针对的真正目标。实际上,这种处理可能更适用于会被假Flash网页所欺骗的入门级用户。

  众所周知,判定一种功能是否可以带来好处的关键就在于具体的实施方式。对于Windows Vista中附带的用户访问控制功能,无数人都发出愤怒的抱怨之声;而到Windows 7发布的时间,微软进行过改进之后,类似的用户声讨就基本上消失了。回到我们正在谈论的话题上,如果每张包含Flash文件的页面上都会出现令人讨厌的提示信息的话,对于用户来说可就不是什么能够轻松处理的简单工作了。在这里,最佳的处理方式应当是在页面顶部设置一个用户可以直接选择是否接受的简单项目。接下来的时间,浏览器就会记住用户对于不同站点的具体设置情况。不过,这会不会属于一种非常有效的安全措施呢?要回答这一问题,我们就需要了解漏洞方面的最新情况,以及通常是哪类用户会遭遇攻击。在绝大多数案例中,某些类型的注入操作都属于罪魁祸首。不论网站是存在SQL数据库方面的漏洞,容许远程脚本加载进来,还是评论发布系统设计非常糟糕导致可运行HTML代码添加进来并容许运行,所导致的最终结果都是一样的。通常情况下,访问者就会被可以加载JavaScript文件的帧引导进其它网站。接下来的时间,恶意代码就会被发送给浏览器,并试图利用Flash、奥多比Reader、浏览器本身或者其它方面最新出现的漏洞来控制用户系统。如果是从这种情况来看的话,答案就应该是肯定的。尽管被破坏的站点包含有隐藏iframe,但由于用户不能够点击,针对Flash漏洞的恶意代码就永远也不会被加载。

  这还引起了另一项非常有趣的话题。对于常规软件开发来说,这种做法是否也属于一种更有效的选择?现在,我们就以另一种数以百万计的人每天使用的在线工具:即时通信为例来进行说明。不论大家所使用的是微软Live Messenger、AIM、ICQ或者任何其它类型的通信工具,应用所支持的项目都不仅限于文字内容。现在,我们可以选择发送图像、视频、链接、音乐以及更多种类的东西。实际上,在十年之前,即时通讯工具也属于黑客非常关注的重点目标。每隔几个月的时间,新病毒通过IM客户端迅速传播开来、机器人账户正发送恶意图片或者会自动运行的可执行文件给用户之类的重大新闻就会再次出现在读者面前。从那时开始,这些客户端就致力于安全设置的完善,最后终于达到了万无一失的等级。现在,如果用户想发送文字以外的绝大部分内容,都需要进行专门设置。默认情况下,程序不会加载任何内容。为了能够查看图片、视频或者演示等内容,用户就需要选择并点击“接受”选项。其中的很多工具甚至完全禁止了二进制文件的使用。与此类似,电子邮件的使用也变成了几乎相同的模式。当年,用户在运行微软Outlook时,是可以接受包含可自动运行JavaScript的电子邮件的。由于用户只要在预览窗口进行阅读就会导致系统被感染,这让波及计算机的数量呈现出疯狂上升的态势。现在,除非用户选择确认,否则包括Gmail在内的许多电子邮件服务提供商都不会显示出来自未知发件人的图片来。

  目前,我们尚不清楚该特殊火狐浏览器的最终版本会如何设置,以及用户的反应情况将如何。但是,如果使用效果不错的话,它可能就会创造出很多项第一来。这可能将成为所有插件的默认选择。毕竟,在HTML5的支持下,页面不再需要使用任何插件就可以建立起先进的多媒体与动态交互功能来。这也就是说,站点上实际并不需要这么多类型的插件。因此,如果它被证明可以带来非常好的安全效果,促进浏览速度获得提高,让用户感到值得信任的话;在未来的时间,我们就可能会看到其他浏览器进行效仿,最终甚至可能扩展到其它类型的应用程序开发人员身上。

  大家认为绝大多数浏览器用户会选择支持这一趋势吗?它会给恶意软件的下载量带来什么样的实际影响呢?

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章